求助，如何Dump取DLL进程-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

求助，如何Dump取DLL进程

发表于: 2006-7-9 09:21 14427

求助，如何Dump取DLL进程

mingsong

2006-7-9 09:21

14427

就脱基本的壳，我脱EXE文件都很轻松就搞定，脱DLL的壳，找到OEP的时候，用插件脱下的时候老是提示“无法读取被调试进程的内存”，这是怎么回事啊，难道脱EXE和DLL有不同的方法，望解答

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (21)
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼 Dump进程我还是喜欢用LordPE。 OD加载DLL到合适点后，LordPE中查找loaddll.exe进程，选中后，然后在LordPE下面的DLL模块窗口找到你DLL进程，再Dump出来。另外，编辑了一下你的标题。 http://bbs.pediy.com/showthread.php?s=&threadid=27565 4. 使用含义丰富，描述准确的标题标题直接反应帖子内容，这样，他人通过标题就能判断这问题是不是自己感兴趣的或能答复的 2006-7-9 09:32 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 3 楼我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 2006-7-9 10:06 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由 mingsong* 发布* 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 DLL必须被相应的EXE进程加载到内存，OD里就是用loaddll.exe这个进程加载的。你Dump时，这个DLL进程必须到loaddll.exe所涉及到的DLL文件里找。 2006-7-9 10:55 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 5 楼我是这样操作的，随便找了个DLL文件，用UPX加了个壳，现在我想把这个壳脱了，手动重建输入表，找到OEP了，然后用插件DUMP，提示――无法读取被调试进程的内存，不知道原因，能加下我QQ吗，297447261，希望能帮助解决下 2006-7-9 11:34 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 6 楼 KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊 2006-7-9 15:05 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼最初由 mingsong* 发布* KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊我对你插件的提示“无法读取被调试进程的内存”，并不清楚原因，不然早就回帖告诉你了。我的方法就是用LordPE，见本帖2楼。 2006-7-9 15:13 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼 OD的Dump插件对Dll是不太好用，用LordPE。 2006-7-9 15:18 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 9 楼高手加加我QQ吧，297447261，学点技术不容易啊，就这么一个小问题困扰我一天了/ 2006-7-9 15:33 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 10 楼最初由 mingsong* 发布* 学点技术不容易啊，就这么一个小问题困扰我一天了/ 大家都不容易。都说过了，用LordPE完全能胜任你的工作，那个插件不是太完善。这插件是开源的，你可以改进一下，以更好地支持DLL。 2006-7-9 15:41 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 11 楼。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！ 2006-7-9 15:59 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 12 楼而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 2006-7-9 16:01 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼最初由 mingsong* 发布* 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！不好意思，QQ很少用。如有看法帖子里会告诉你的。有时“死板”也不是坏事。应用上要灵活，学习上可以死板。;) 你可以将那插件源码找过来看看，改进一下。 http://www.pediy.com/sourcecode/pluin/olldbg/OllyDump/ollydump300110_src.zip 最初由 mingsong* 发布* 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 LORDPE选项里设置。 2006-7-9 16:04 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 14 楼哎，不管怎么说都要感谢下大大，辛苦了 2006-7-9 16:09 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 15 楼想知道下DLL文件OD 是DUMP不出来，我用LORDPE DUMP出来还是没脱掉壳，操作方法出问题了？？？ 2006-7-9 19:00 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 16 楼修复Dump出的Dll OEP入口RAV 2006-7-9 19:31 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 17 楼最初由小虾发布修复Dump出的Dll OEP入口RAV 有些专业术语，小弟现在不是很清楚，能说清楚点么比如RAV？？ 2006-7-9 19:49 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 18 楼哪位有空闲时间做个图文版的教程，相信对与DLL脱壳有许多刚入门的有这方面的需求。 2006-7-9 19:58 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 19 楼就是修正Dll的OEP入口偏移地址（你脱壳找到的OEP地址）。 2006-7-9 20:12 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 20 楼晕，搞了半天是这里出了问题，谢了啊 2006-7-10 00:12 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 21 楼错了，不是DUMP出来不能用，是根本DUMP不出来 2006-7-10 03:20 0
BIX 雪币： 344 活跃值： (922) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 65 粉丝 7 关注私信	BIX 22 楼 2006年。。 2020-7-19 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mingsong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼 Dump进程我还是喜欢用LordPE。 OD加载DLL到合适点后，LordPE中查找loaddll.exe进程，选中后，然后在LordPE下面的DLL模块窗口找到你DLL进程，再Dump出来。另外，编辑了一下你的标题。 http://bbs.pediy.com/showthread.php?s=&threadid=27565 4. 使用含义丰富，描述准确的标题标题直接反应帖子内容，这样，他人通过标题就能判断这问题是不是自己感兴趣的或能答复的 2006-7-9 09:32 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 3 楼我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 2006-7-9 10:06 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼最初由 mingsong* 发布* 我想知道出现这个状况的原因，就是为什么会DUMP不出呢，如果一定要用OD，有没什么技巧 DLL必须被相应的EXE进程加载到内存，OD里就是用loaddll.exe这个进程加载的。你Dump时，这个DLL进程必须到loaddll.exe所涉及到的DLL文件里找。 2006-7-9 10:55 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 5 楼我是这样操作的，随便找了个DLL文件，用UPX加了个壳，现在我想把这个壳脱了，手动重建输入表，找到OEP了，然后用插件DUMP，提示――无法读取被调试进程的内存，不知道原因，能加下我QQ吗，297447261，希望能帮助解决下 2006-7-9 11:34 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 6 楼 KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊 2006-7-9 15:05 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼最初由 mingsong* 发布* KANXUE还在吗，在线等待大大的帮助，刚入门，问题比较多，见谅啊我对你插件的提示“无法读取被调试进程的内存”，并不清楚原因，不然早就回帖告诉你了。我的方法就是用LordPE，见本帖2楼。 2006-7-9 15:13 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼 OD的Dump插件对Dll是不太好用，用LordPE。 2006-7-9 15:18 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 9 楼高手加加我QQ吧，297447261，学点技术不容易啊，就这么一个小问题困扰我一天了/ 2006-7-9 15:33 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 10 楼最初由 mingsong* 发布* 学点技术不容易啊，就这么一个小问题困扰我一天了/ 大家都不容易。都说过了，用LordPE完全能胜任你的工作，那个插件不是太完善。这插件是开源的，你可以改进一下，以更好地支持DLL。 2006-7-9 15:41 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 11 楼。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！ 2006-7-9 15:59 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 12 楼而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 2006-7-9 16:01 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 13 楼最初由 mingsong* 发布* 。。，只是想知道错在哪里了，可能是比较死板吧，确实是想知道自己错在哪，希望KANXUE 能加加QQ，说下看法，交个朋友嘛！！！不好意思，QQ很少用。如有看法帖子里会告诉你的。有时“死板”也不是坏事。应用上要灵活，学习上可以死板。;) 你可以将那插件源码找过来看看，改进一下。 http://www.pediy.com/sourcecode/pluin/olldbg/OllyDump/ollydump300110_src.zip 最初由 mingsong* 发布* 而且，现在LORDPE，不能帮我解决问题，我要的是没有重建输入表的脱壳文件，实在是郁闷啊 LORDPE选项里设置。 2006-7-9 16:04 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 14 楼哎，不管怎么说都要感谢下大大，辛苦了 2006-7-9 16:09 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 15 楼想知道下DLL文件OD 是DUMP不出来，我用LORDPE DUMP出来还是没脱掉壳，操作方法出问题了？？？ 2006-7-9 19:00 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 16 楼修复Dump出的Dll OEP入口RAV 2006-7-9 19:31 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 17 楼最初由小虾发布修复Dump出的Dll OEP入口RAV 有些专业术语，小弟现在不是很清楚，能说清楚点么比如RAV？？ 2006-7-9 19:49 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 18 楼哪位有空闲时间做个图文版的教程，相信对与DLL脱壳有许多刚入门的有这方面的需求。 2006-7-9 19:58 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 19 楼就是修正Dll的OEP入口偏移地址（你脱壳找到的OEP地址）。 2006-7-9 20:12 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 20 楼晕，搞了半天是这里出了问题，谢了啊 2006-7-10 00:12 0
mingsong 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	mingsong 21 楼错了，不是DUMP出来不能用，是根本DUMP不出来 2006-7-10 03:20 0
BIX 雪币： 344 活跃值： (922) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 65 粉丝 7 关注私信	BIX 22 楼 2006年。。 2020-7-19 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复